• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Tarnkappe] Sicherheitslücke: Supergau bei Prozessorherstellern

meltdown_spectre.png


Sicherheitsforscher haben kürzlich mehrere schwere Designfehler in zahlreichen Computer-Prozessoren (CPUs) entdeckt, die ein Auslesen von geschützten Inhalten durch normale Programme sogar aus der Ferne ermöglichen. Dadurch ist es theoretisch möglich, dass eine Webseite mittels Javascript auf Passwörter und andere sensible Inhalte des Computers eines Besuchers zugreifen kann, die sich gerade in seinem Arbeitsspeicher befinden.

Besonders schlimm hat es Intel getroffen, da hier gleich zwei verschiedene Hardware-Bugs entdeckt wurden. Der Intel-spezifische Fehler wird als Meltdown (“Kernschmelze”) bezeichnet und befindet sich in Prozessoren der letzten 20 Jahre bis zurück zum Pentium Pro. Der andere Fehler, der teilweise auch AMD und die Hersteller von ARM-CPUs betrifft, wird Spectre (“Gespenst”) genannt. Insbesondere Spectre wird sich nicht vollständig durch Software beheben lassen. Die beiden Namen wurden übrigens wegen der Dramatik der Fehler aus James-Bond-Filmen entnommen.

[h=3]Betriebssystem-Hersteller arbeiten fieberhaft an einer Lösung[/h]

Seit Tagen arbeiten Microsoft und zahlreiche Linux-Entwickler mit Hochdruck an ihren Produkten, um Notfall-Patches zu entwickeln und die Fehler durch neue Software des innersten Bereichs des Betriebssystems – den Kernel – zu beheben. Apple hält sich mit Aussagen etwas bedeckt, doch auch deren CPUs, unter anderem von ARM und Intel, enthalten den Fehler.
Die neue Kernel-Software bringt je nach Prozessor auch erhebliche Geschwindigkeitseinbußen von bis zu 30% mit sich, was insbesondere für Netzwerk- und Datei-intensive Programme gilt, bei denen häufig Funktionen des Betriebssystems aufgerufen werden. Diese sogenannten Kontext-Wechsel zwischen Benutzer-Programmen und Kernel können durch die geflickte Software sehr verlangsamt werden – sehr zum Ärger der Benutzer.

[h=3]Fehlerhafte Hardware ist verantwortlich[/h]

Normalerweise werden Fehler in Computern durch neue Software behoben, doch in diesem Fall ist die Hardware schuld, was eine Reparatur mit Software-Updates sehr erschwert. Daher wäre es wesentlich sinnvoller, den Fehler direkt zu beseitigen, statt an der Software herumzudoktern. Doch leider gibt es noch keine fehlerfreie Hardware, weil die erst entwickelt werden muss. Bis dahin wird man mit geflickten Betriebssystemen vorlieb nehmen müssen, sofern diese überhaupt zur Verfügung gestellt werden. Insbesondere für ältere Geräte mit fester Firmware wird das zum Problem. Betroffen ist der komplette Sektor von Smartphones und Routern, über Unterhaltungselektronik, Industrie-Maschinen und alles was als Internet-of-Things (IoT) bezeichnet wird oder irgendwie am Internet hängt und mit defekten CPUs arbeitet.

[h=3]Intel-Führung hat bereits ihre Firmenaktien verkauft[/h]

Wohl in weiser Voraussicht des kommenden Schadens hat die Führung von Intel bereits Ende letzten Jahres die Aktienanteile an der Firma zu Geld gemacht, um einem drohenden Kursverlust zu entgehen. Der Chef bestreitet natürlich die Vorwürfe. Das ist die hässliche Seite des Problems. Andere Firmen werden möglicherweise auch bald folgen…
Zwischen dem 5. und 10. Januar beabsichtigen Amazon und Microsoft schrittweise ihre großen Cloudserver herunterzufahren, um Notfall-Patches zu installieren, da auch deren riesige Computerfarmen betroffen sind.


https://tarnkappe.info/sicherheitsluecke-supergau-bei-prozessorherstellern/Quelle
Autor: Kati Mueller
Quelle
 

Abul

(Threadleser)

Registriert
20 Sep. 2013
Beiträge
4.087
Steht in der Mitte vom Artikel und im letzen Absatz. Überschrift gelesen?
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
Wohl eher, dass fast alle Prozessoren betroffen sind... Also PCs und Notebooks daheim, zumindest alle mit Intel und manche mit AMD, Server und Smartphones sowie IoT.
Für Android-Smartphones gabs am 2.1. ein Security Patch, was aber vermutlich noch nicht überall ausgerollt ist.
Windows-Patch läuft nicht mit allen Antivirensoftwaren.
Ach ja, Azure Cloud und Amazon Cloud haben auch Wartungsarbeiten.

Edit: aus dem Meltdown-Paper

Meltdown allows an unprivileged process to read data mapped in the kernel address space, including the entire physical memory on Linux and OS
X, and a large fraction of the physical memory on Windows. This may include physical memory of other processes, the kernel, and in case of kernel-sharing sand-box solutions (e.g., Docker, LXC) or Xen in paravirtualization mode, memory of the kernel (or hypervisor), and other co-located instances

Edit2: aus dem Spectre-Paper

Experiments were performed on multiple x86 processor architectures, including Intel Ivy Bridge (i7-3630QM), Intel Haswell (i7-4650U), Intel Skylake (unspecified Xeon on Google Cloud), and AMD Ryzen. The Spectre vulnerability was observed on all of these CPUs. Similar results were observed on both 32- and 64-bit modes, and both Linux and Windows.
 
Zuletzt bearbeitet:

Abul

(Threadleser)

Registriert
20 Sep. 2013
Beiträge
4.087
Ich bin zwar kein BWLer, aber mit Updates für schon verkaufte Geräte macht man doch keine Kohle mehr. Ich würde sagen die sollen sich lieber alle ein neues Gerät kaufen, oder zwei. Das ist doch eine Win-Situation für alle.
 

Pleitgengeier

offizielles GEZ-Haustier

Registriert
14 Juli 2013
Beiträge
7.369
Ort
127.0.0.1
Es ist ja nicht nur so dass die Hersteller keine Updates anbieten sondern auch noch das aufspielen von fremden Roms verhindern.
Fragt sich also ob man hier nicht eine Haftung konstruieren kann

Edit: oder schlimmeres, das verhindern aktueller aber fremder Roms geschieht ja vorsätzlich
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
Bei ARM gibts eine Liste an Prozessoren, die von den verschiedenen Varianten betroffen sind.

Wenn man weiß, welchen das Smartphone einsetzt, kann man schauen, ob man betroffen ist. Raspberries sind übrigens nicht betroffen laut aktuellem Stand (mein Smartphone auch nicht :D ).

Edit: FireTV Version 2 (2015) müsste betroffen sein durch 2x ARM Cortex A72. Die anderen Versionen verwenden andere Prozessoren.
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Laut der Liste von ARM sind auch Redmi 4 Geräte nicht betroffen. Und damit vermutlich keine oder kaum Xiaomis.

Also brauch ich keinen Patch für mein Handy. Best case.
 

Steeve

Vereinsheimer
Barkeeper

Registriert
15 Juli 2013
Beiträge
41.121
Und eine allgemein Übersicht bei Heise bzgl. Browser.
Danke für den Tipp
Als Reaktion auf die schwerwiegende Prozesor-Sicherheitslücke, für die es bereits Angriffsszenarien gibt, haben nun Google und Mozilla für ihre Browser erste Gegenmaßnahmen angekündigt. Nutzern von Chromium (und damit Chrome) wird geraten, die Option "Website-Isolierung" zu aktivieren. Dazu muss man chrome://flags/#enable-site-per-process in die Adressleiste eingeben und hinter "Strict site isolation" auf den Button "Aktivieren" klicken. Ist diese Option aktiv, rendert Chrome den Inhalt jeder geöffneten Website in einem eigenen Prozess, was es Angreifern erschweren soll, das Sicherheitsproblem auszunutzen.
 
Oben